devsecops практики

  1. Сергей Попов

    Статья Что такое DevSecOps: принципы, роли и место безопасности в цикле разработки

    На одном из проектов я настраивал CI/CD для финтех-стартапа. Пайплайн работал быстро - 12 минут от коммита до продакшена, разработчики были довольны. Через три месяца внешний аудитор нашёл в приложении захардкоженный API-ключ к платёжному шлюзу, уязвимую зависимость с известным CVE двухлетней...
  2. Сергей Попов

    Статья Shift-left на практике: внедрение SAST и DAST в CI/CD без срыва релизов

    Последние два года наша команда прикручивает security-пайплайны продуктовым командам - и в семи случаях из десяти застаём одну картину: кто-то добавил Bandit с дефолтным конфигом, получил 400+ алертов на первом прогоне и через неделю поставил allow_failure: true на все security-джобы. Формально...